oracleskill

(IDG News Service วันที่ 25 เมษายน 2551) - นาย David Litchfield นักวิจัยด้านความปลอดภัย ตีพิมพ์ paper ข้อมูลทางด้านเทคนิค การโจมตี แบบใหม่ ที่ แฮคเกอร์ สามารถใช้โจมตีฐานข้อมูลของ ออราเคิล ได้

 

การโจมตีนี้ เรียกว่า "lateral SQL injection" ซึ่งเป็นการโจมตีชนิดนี้ สามารถเพิ่มสิทธิตัวเองเป็น database administrator (DBA) บน Oracle Server เพื่อที่จะลบข้อมูล หรือ แม้กระทั่ง ติดตั้งซอฟต์แวร์เข้าไปใหม่ก็ได้

David Litchfield เปิดเผยวิธีการโจมตีชนิดนี้ในการประชุม Black Hat Washington conference เมื่อเดือนกุมภาพันธ์ที่ผ่านมา แต่เพิ่งตีพิมพ์ ออกเป็น paper ข้อมูลทางเทคนิค เมื่อ พฤหัส 24 เมษายน

นาย David Litchfield เป็นนักวิจัยที่มีชื่อเสียง จากการมีผลงานตีพิมพ์ รายละเอียดของ SQL Slammer Worm ที่ออกโจมตี ฐานข้อมูล Microsoft's SQL Server เมื่อปี พ.ศ. 2546 ( อ่าน รายละเอียด SQL Slammer Worm ที่นี่ )

โดย ทั่วไปแล้ว วิธี SQL injection ผู้จู่โจมจะสร้างการเขียนคำสั่งแทรกเข้าไปใน SQL ที่ไปสั่งงานฐานข้อมูล ซึ่งก่อนหน้านี้ ผู้เชี่ยวชาญด้านความปลอดภัย คิดว่าวิธี SQL injection ได้ผลเมื่อผู้จู่โจมใส่ character บางตัวเข้าไปในฐานข้อมูลเท่านั้น (ดูรายละเอียด SQL injection และ วิธีป้องกัน ที่นี่ ) แต่นาย David Litchfield แสดงให้เห็นว่าการจู่โจมชนิดใหม่นี้ได้ผลกับ datatype ชนิด date (วันที่) และ number (ตัวเลข) ด้วย

สำหรับ เป้าหมายการโจมตีนี้ คือ โปรแกรมที่เขียนด้วยภาษา Procedural Language/SQL programming language (PL/SQL) ซึ่งใช้กันในหมู่นักพัฒนาโปรแกรมออราเคิล

David Litchfield ไม่แน่ใจว่า มีการโจมตีจุดอ่อน lateral SQL injection แพร่หลายแค่ไหน แต่เขามั่นใจว่า การโจมตีแบบนี้ในบางสถานการณ์ จะทำให้เกิดความเสียหายอย่างใหญ่หลวงได้

"ถ้าคุณเขียนแอพพลิเคชั่นของตัวเองบนออราเคิล ..แน่นอน..คุณอาจกำลังเขียนโค้ดโปรแกรมที่เป็นช่องโหว่ได้" Litchfield กล่าว

ผู้ เขียนโปรแกรมฐานข้อมูล ควรจะย้อนไปตรวจดูโค้ดที่ตัวเองเขียน เพื่อให้แน่ใจว่า ข้อมูลถูกโปรเซสอย่างถูกต้อง และ ไม่สามารถถูกแทรกคำสั่ง SQL injection ได้

สำหรับทาง บริษัท ออราเคิล (สำนักงานใหญ่) ยังไม่มีการออกความเห็นเกี่ยวกับเรื่องนี้แต่อย่างใด

(เนื่อง จาก ยังไม่มีการแถลงวิธีการแก้ไขช่องโหว่นี้ จากทางผู้เชี่ยวชาญด้านความปลอดภัย หรือ จากทางออราเคิล เอง ทางเวบ oracleskill.com จึงขออภัยที่จะยังไม่เผยแพร่ รายละเอียดทางเทคนิคการโจมตีแบบใหม่นี้ ภายในเวบไซต์ )

แหล่งข้อมูล :

Computer World Security